購入する または契約更新する
購入する または契約更新する
キャンセル
提案をオンにする
自動提案では、入力時に可能な一致が提案されるので検索結果を素早く絞り込むことができます。
次の結果を表示 
次の代わりに検索 
もしかして: 
cancel
投稿メッセージを作成する
1074
閲覧回数
5
いいね!
3
返信

[IPsecVPN] 拠点動的IPでのIPsec時、インターネットの出し口をセンター側の別の経路をたどる設定

kain2534A
Level 1
Level 1

‎2018-01-10 12:07 PM ‎2019-03-22 07:36 AM 更新

こんにちは。

 

kain2534Aと申します。

 

表題の件での議論となりますが、

各拠点が複数ありそれらのWANアドレスは動的なものとします。

 

そしてメインとなるセンター側とのルーター間IPsecVPNを張ろうと思います。

そこでセンター側のルーターの先には基幹となるL3SWがあり、その奥にFWとISPが存在します。

 

行いたい事としては、上記のルーター間IPsecVPNを構築し、かつ拠点側の端末がインターネットに出る際は、拠点側ルーターからではなく、センター側のFWの先のISPから出る形を想定しております。

 

センター側ルーターのデフォルトゲートウェイをセンター側ISP(IPsecVPNで使用している物)もしくは基幹L3SWにしてしまうと、各拠点の端末がインターネットに出る際は、センター側のIPsecVPNを張っているルーターから折り返して出ることになると想定されます。

 

この構成の場合、基幹L3SWの奥にあるISPからインターネットに出たい場合はどのような設定/考え方になるのでしょうか。

 

添付のファイルはアドレス等を記載した構成図となります。

 

よろしく。

 

ファイルをプレビュー
426 KB
0 いいね!
3件の返信3

CiscoJapanModerator
Level 7
Level 7

‎2018-01-19 05:37 PM

サポートコミュニティのご利用ありがとうございます。
ご質問いただいたコミュニティが異なっているようですので、こちらの正しいコミュニティへ投稿を移動しました。引き続きご活用いただけますようどうぞよろしくお願いいたします。

 

サポートコミュニティ事務局

0 いいね!

aktosa
Cisco Employee
Cisco Employee

‎2018-01-19 06:45 PM

この構成の場合、お考えいただいている通り、動的IPの拠点へのRouteはDefault routeとするしか無いので、VPN経由のインターネット向け通信は拠点のVPNを収容している側に向いてしまいますね。

 

Source IPを基準にして、Route-mapを使いPolicy based routingをすれば、Destination IPだけではなくSource IPも含めてRoutingを行えるようにできるかと思います。

こちらを検討されてみてはいかがでしょうか。

kain2534A
Level 1
Level 1
aktosaに対する応答

‎2018-01-29 01:59 PM

ご返信ありがとうございます。

 

検証してみたところ、IPsecを張りつつ、経路上は要件通りのインターネットへの疎通を確認出来ました。

 

しかし一点、問題があり、インターネットへのブラウジングの際、PBRの影響か、

重いページが開けなくなってしまいました。

 

PBRを外し、折り返しでのブラウジングは問題ないので、この機能の影響だと考えます。

 

 

また上記は不可能だとして、

センター側折り返しでのインターネットへのアクセスについては、どのような設定を考えればよいでしょうか。

 

宜しくお願い致します。

0 いいね!
Customers Also Viewed These Support Documents